JP6359188B2 - Authentication apparatus, authentication system, and authentication method - Google Patents

Authentication apparatus, authentication system, and authentication method Download PDF

Info

Publication number
JP6359188B2
JP6359188B2 JP2017524288A JP2017524288A JP6359188B2 JP 6359188 B2 JP6359188 B2 JP 6359188B2 JP 2017524288 A JP2017524288 A JP 2017524288A JP 2017524288 A JP2017524288 A JP 2017524288A JP 6359188 B2 JP6359188 B2 JP 6359188B2
Authority
JP
Japan
Prior art keywords
information
determination
signature
unit
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017524288A
Other languages
Japanese (ja)
Other versions
JPWO2016207945A1 (en
Inventor
伊藤 隆
伊藤  隆
松田 規
規 松田
充洋 服部
充洋 服部
拓海 森
拓海 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2016207945A1 publication Critical patent/JPWO2016207945A1/en
Application granted granted Critical
Publication of JP6359188B2 publication Critical patent/JP6359188B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Description

本発明は、機器が正規品か模倣品かを判定する真贋判定装置に関する。   The present invention relates to an authenticity determination device that determines whether a device is a genuine product or a counterfeit product.

機器の製造技術の発達に伴い、正規の機器に見せかけた模倣品の製造も比較的容易となったため、正規品と模倣品を見分けるための真贋判定技術の重要性が増している。真贋判定を行なう方法の一つに、正規の機器製造者のみが生成可能であるような真贋判定用の情報を、バーコードや二次元バーコードなどの形で機器に貼付し、このバーコードを読み取ることで真贋判定を行なう方法がある。特許文献1では、機器ごとに固有の識別情報を、正規の機器製造者のみが知る鍵で暗号化し、得られた暗号化データを機器に付与することで真贋判定を可能とする方法が開示されている。   With the development of equipment manufacturing technology, it has become relatively easy to manufacture counterfeits that appear to be legitimate equipment, and the importance of authenticity determination technology for distinguishing between legitimate and counterfeit goods is increasing. As one method of authenticating, authenticating information that can be generated only by authorized device manufacturers is affixed to the device in the form of a barcode or two-dimensional barcode, and this barcode is attached. There is a method of determining authenticity by reading. Patent Document 1 discloses a method that enables authenticity determination by encrypting identification information unique to each device with a key known only to a legitimate device manufacturer and assigning the obtained encrypted data to the device. ing.

特開2007−166519号公報JP 2007-166519 A

特許文献1の方法は、正規の機器製造者のみが正しい真贋判定用の情報をバーコードとして生成できるようにすることで、悪意を持った攻撃者が真贋判定用の情報を適当に作ったとしても、これを検出できる仕組みを提供している。しかし、攻撃者が正規の機器を入手した場合、機器に付与されている正しい真贋判定用の情報であるバーコードを複製し、別途、模倣した機器に付与することで、真贋判定にパスする模倣品を作ることが可能となってしまうという課題がある。なお、同一の真贋判定用の情報が複数見つかった場合に不正を検出することは可能であるが、この方法は少数の機器に対してしか真贋判定を行なわない場合には機能しない可能性がある。   According to the method of Patent Document 1, only a legitimate device manufacturer can generate correct authentication information as a barcode, so that a malicious attacker appropriately creates authentication information. Also provides a mechanism to detect this. However, when an attacker obtains a legitimate device, the imitation that passes the authenticity judgment by duplicating the barcode that is the correct authentication information given to the device and giving it to the imitated device separately. There is a problem that it becomes possible to make goods. It is possible to detect fraud when a plurality of pieces of information for the same authenticity determination are found, but this method may not function when authenticity determination is performed only for a small number of devices. .

本発明は、上記の課題を解決するためになされたもので、バーコード上の情報だけでなく、機器内部を構成する部品の情報も同時に取得して真贋判定を行なうことで、バーコードの複製による模倣品も検出可能な真贋判定装置を実現することを目的とする。   The present invention has been made in order to solve the above-described problem, and not only the information on the barcode but also the information on the components constituting the inside of the device is simultaneously acquired to determine the authenticity, thereby reproducing the barcode. It is an object of the present invention to realize an authenticity determination device that can detect counterfeit products.

上記で述べた課題を解決するため、本発明の真贋判定装置は、真贋が判定される判定対象装置の内部を構成する部品の情報を示す部品情報と、判定対象装置の固有の情報を示す装置情報と、判定対象装置の装置情報と部品情報との組に対する署名情報とを受信する通信部と、署名情報を生成した生成鍵に対応する検証鍵を記憶する検証鍵記憶部と、検証鍵を用いて、通信部により受信した部品情報と装置情報と署名情報との組の正当性を検証する署名検証部と、署名検証部が検証した正当性に基づいて判定対象装置の真贋を判定する判定部とを備える。   In order to solve the above-described problem, an authenticity determination device according to the present invention is an apparatus that indicates component information that indicates information about components that constitute the determination target device in which authenticity is determined, and information that is unique to the determination target device. A communication unit that receives information, signature information for a set of device information and component information of a determination target device, a verification key storage unit that stores a verification key corresponding to a generation key that generated the signature information, and a verification key A signature verification unit that verifies the validity of a set of component information, device information, and signature information received by the communication unit, and a determination that determines the authenticity of the determination target device based on the validity verified by the signature verification unit A part.

本発明によれば、機器内部を構成する部品の情報も同時に取得して真贋判定を行なうことで、バーコードの複製による模倣品も検出可能にするという効果が得られる。   According to the present invention, it is possible to detect counterfeit products by duplicating barcodes by simultaneously acquiring information on components constituting the device and performing authenticity determination.

実施の形態1に係る真贋判定装置1により判定対象装置2の正当性を判定する真贋判定システムの一構成例を示す図である。It is a figure which shows the example of 1 structure of the authenticity determination system which determines the correctness of the determination target apparatus 2 by the authenticity determination apparatus 1 which concerns on Embodiment 1. FIG. 実施の形態1に係る真贋判定装置1の一構成例を示す図である。It is a figure which shows one structural example of the authenticity determination apparatus 1 which concerns on Embodiment 1. FIG. 真贋判定装置1のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the authenticity determination apparatus. 実施の形態1に係る判定対象装置2の一構成例を示す図である。It is a figure which shows the example of 1 structure of the determination target apparatus 2 which concerns on Embodiment 1. FIG. 部品情報記憶部41が記憶する部品情報の一例を示す図である。It is a figure which shows an example of the components information which the components information storage part 41 memorize | stores. 装置情報記憶部44が記憶する装置情報の一例を示す図である。It is a figure which shows an example of the apparatus information which the apparatus information storage part 44 memorize | stores. 判定対象装置2のハードウェア構成の一例を示す図である。3 is a diagram illustrating an example of a hardware configuration of a determination target device 2. FIG. 実施の形態1に係る判定情報登録装置3の一構成例を示す図である。It is a figure which shows the example of 1 structure of the determination information registration apparatus 3 which concerns on Embodiment 1. FIG. 署名鍵対記憶部81が記憶する生成鍵と検証鍵の一例を示す図である。It is a figure which shows an example of the production | generation key and verification key which the signature key pair memory | storage part 81 memorize | stores. 判定情報登録装置3のハードウェア構成の一例を示す図である。3 is a diagram illustrating an example of a hardware configuration of a determination information registration device 3. FIG. 実施の形態1に係る判定情報取得装置5の一構成例を示す図である。It is a figure which shows the example of 1 structure of the determination information acquisition apparatus 5 which concerns on Embodiment 1. FIG. 判定情報取得装置5のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the determination information acquisition apparatus. 実施の形態1に係る判定情報登録装置3の動作の流れを示すフローチャートである。4 is a flowchart showing a flow of operations of a determination information registration apparatus 3 according to Embodiment 1. 実施の形態1に係る真贋判定装置1の動作の流れを示すフローチャートである。4 is a flowchart showing a flow of operations of the authenticity determination device 1 according to the first embodiment. 実施の形態2に係る真贋判定装置1により、ネットワーク接続済みである判定対象装置2の正当性を判定する真贋判定システムの一構成例を示す図である。It is a figure which shows the example of 1 structure of the authenticity determination system which determines the correctness of the determination object apparatus 2 already connected to the network by the authenticity determination apparatus 1 which concerns on Embodiment 2. FIG. 実施の形態2に係る真贋判定装置1の一構成例を示す図である。It is a figure which shows one structural example of the authenticity determination apparatus 1 which concerns on Embodiment 2. FIG. 実施の形態2に係る判定対象装置2の一構成例を示す図である。It is a figure which shows the example of 1 structure of the determination target apparatus 2 which concerns on Embodiment 2. FIG. 実施の形態2に係る判定情報取得装置5の一構成例を示す図である。It is a figure which shows one structural example of the determination information acquisition apparatus 5 which concerns on Embodiment 2. FIG. 実施の形態2に係る真贋判定装置1の動作の流れを示すフローチャートである。6 is a flowchart showing a flow of operations of the authenticity determination device 1 according to the second embodiment.

実施の形態1.
図1は、実施の形態1に係る真贋判定装置1により判定対象装置2の正当性を判定する真贋判定システム4の一構成例を示す図である。
図1において、真贋判定システム4は、真贋の判定対象となる判定対象装置2と、判定対象装置2から真贋を判定するための判定情報を取得する判定情報取得装置5を備えている。判定情報は、例えば、判定対象装置2に関する部品情報、装置情報、署名情報などである。また、真贋判定装置1は、ネットワーク6を介して判定情報取得装置5に接続され、判定情報取得装置5が取得した判定情報に基づいて、判定対象装置2の正当性を、デジタル署名技術を利用して判定する。Embodiment 1 FIG.
FIG. 1 is a diagram illustrating a configuration example of an authenticity determination system 4 that determines the validity of a determination target device 2 by an authenticity determination device 1 according to the first embodiment.
In FIG. 1, the authenticity determination system 4 includes a determination target device 2 that is a determination target of authenticity, and a determination information acquisition device 5 that acquires determination information for determining authenticity from the determination target device 2. The determination information is, for example, component information, device information, signature information, etc. regarding the determination target device 2. Further, the authenticity determination device 1 is connected to the determination information acquisition device 5 via the network 6, and based on the determination information acquired by the determination information acquisition device 5, the validity of the determination target device 2 is obtained using digital signature technology. Judgment.

真贋判定装置1と判定対象装置2には、真贋判定システム4が工場で製造される際に、判定情報登録装置3によって、真贋を判定するための判定情報が登録される。その後、判定情報が登録された真贋判定装置1と判定対象装置2を備えた真贋判定システム4が、製品として工場から出荷される。   In the authenticity determination device 1 and the determination target device 2, determination information for determining authenticity is registered by the determination information registration device 3 when the authenticity determination system 4 is manufactured in a factory. Thereafter, the authenticity determination system 4 including the authenticity determination device 1 and the determination target device 2 in which the determination information is registered is shipped from the factory as a product.

図2は、実施の形態1に係る真贋判定装置1の一構成例を示す図である。
真贋判定装置1は、判定情報取得装置5からの依頼を受け、デジタル署名技術を利用して判定対象装置2の真贋判定を行なう。図2において、検証鍵記憶部20は、判定対象装置2の署名記憶部45が記憶する署名情報を検証するための、署名の検証鍵を記憶する。FIG. 2 is a diagram illustrating a configuration example of the authenticity determination device 1 according to the first embodiment.
The authenticity determination device 1 receives a request from the determination information acquisition device 5 and determines the authenticity of the determination target device 2 using a digital signature technique. In FIG. 2, the verification key storage unit 20 stores a signature verification key for verifying the signature information stored in the signature storage unit 45 of the determination target device 2.

署名検証部21は、検証鍵記憶部20が記憶する署名の検証鍵を利用して、署名検証処理を行なう。この署名検証処理は、既存の暗号技術である署名検証技術を用いて実現できる。   The signature verification unit 21 performs signature verification processing using the signature verification key stored in the verification key storage unit 20. This signature verification process can be realized by using a signature verification technique which is an existing encryption technique.

判定部22は、署名検証部21が行なった署名検証処理の結果に基づいて、判定対象装置2の真贋判定を行なう。   The determination unit 22 determines the authenticity of the determination target device 2 based on the result of the signature verification process performed by the signature verification unit 21.

通信部23は、真贋判定装置1の外部との通信を行なう通信モジュールである。   The communication unit 23 is a communication module that performs communication with the outside of the authenticity determination device 1.

図3は、真贋判定装置1のハードウェア構成の一例を示す図である。
真贋判定装置1はコンピュータであり、真贋判定装置1の各構成要素をプログラムで実現することができる。真贋判定装置1のハードウェア構成としては、バス30に、メモリ31、プロセッサ32、通信モジュール33、入力インタフェース34、ディスプレイ35が接続されている。FIG. 3 is a diagram illustrating an example of a hardware configuration of the authenticity determination device 1.
The authenticity determination device 1 is a computer, and each component of the authenticity determination device 1 can be realized by a program. As a hardware configuration of the authenticity determination device 1, a memory 31, a processor 32, a communication module 33, an input interface 34, and a display 35 are connected to a bus 30.

メモリ31は、例えばRAM(Random Access Memory)等の主記憶装置や、ROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置等の外部記憶装置である。   The memory 31 is, for example, a main storage device such as a RAM (Random Access Memory), or an external storage device such as a ROM (Read Only Memory), a flash memory, or a hard disk device.

プロセッサ32は、プログラムを実行するCPU(Central Processing Unit)等である。   The processor 32 is a CPU (Central Processing Unit) that executes a program.

通信モジュール33は、データの通信処理を実行する電子回路であり、例えば通信ボード等である。   The communication module 33 is an electronic circuit that executes data communication processing, and is, for example, a communication board.

入力インタフェース34は、真贋判定装置1に対する入力データを処理するデバイスであり、例えば、タッチパネル、ハードウェアキー、マウス、キーボード等である。   The input interface 34 is a device that processes input data to the authenticity determination device 1, and is, for example, a touch panel, a hardware key, a mouse, a keyboard, or the like.

ディスプレイ35は、真贋判定装置1による真贋判定結果の出力データを表示するデバイスである。   The display 35 is a device that displays output data of the authentication result of the authentication device 1.

プログラムは、通常はメモリ31に記憶されており、プロセッサ32に読み込まれ、実行される。このプログラムは、真贋判定装置1を構成する署名検証部21、判定部22、通信部23として説明している機能を実現するプログラムである。   The program is normally stored in the memory 31, and is read and executed by the processor 32. This program is a program that realizes the functions described as the signature verification unit 21, the determination unit 22, and the communication unit 23 that constitute the authenticity determination device 1.

更に、メモリ31の外部記憶装置には、オペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置にロードされ、プロセッサ32は、OSを実行しながら、上記プログラムを実行する。   Further, an operating system (OS) is also stored in the external storage device of the memory 31, and at least a part of the OS is loaded into the main storage device, and the processor 32 executes the program while executing the OS. .

また、以下の実施の形態の説明において、検証鍵記憶部20が記憶する情報やデータ、署名検証部21、判定部22、通信部23の処理の結果を示す情報やデータや信号値や変数値が、メモリ31にファイルとして記憶されている。   In the following description of the embodiment, information and data stored in the verification key storage unit 20, information, data, signal values, and variable values indicating processing results of the signature verification unit 21, the determination unit 22, and the communication unit 23 are described. Is stored in the memory 31 as a file.

なお、図3の構成は、あくまでも装置のハードウェア構成の一例を示すものであり、装置のハードウェア構成は図3に記載の構成に限らず、他の構成であってもよい。   Note that the configuration in FIG. 3 is merely an example of the hardware configuration of the apparatus, and the hardware configuration of the apparatus is not limited to the configuration described in FIG. 3 and may be other configurations.

図4は、実施の形態1に係る判定対象装置2の一構成例を示す図である。
判定対象装置2は、自身が正当な装置であることを証明するための判定情報を記憶し、判定情報取得装置5に判定情報を送信する。FIG. 4 is a diagram illustrating a configuration example of the determination target device 2 according to the first embodiment.
The determination target device 2 stores determination information for proving that it is a legitimate device, and transmits the determination information to the determination information acquisition device 5.

図4において、部品40は、判定対象装置2の構成要素のある一まとまりを表わす。例えば、部品40の一例は、判定対象装置2のうち、筐体部分を除く、装置内部全体である。なお、本実施の形態では、判定対象装置2が単一の部品40を持つ場合について説明するが、判定対象装置2が複数の部品を持っていても良い。   In FIG. 4, a part 40 represents a certain group of components of the determination target device 2. For example, an example of the component 40 is the entire inside of the apparatus, excluding the housing portion, of the determination target apparatus 2. In the present embodiment, a case where the determination target device 2 has a single component 40 will be described, but the determination target device 2 may have a plurality of components.

部品情報記憶部41は、部品40に関する情報である部品情報を記憶する。
図5は、部品情報記憶部41が記憶する部品情報の一例を示す図である。
図5において、部品情報の例としては、部品名、部品製造年月日、部品シリアル番号などが挙げられる。The component information storage unit 41 stores component information that is information related to the component 40.
FIG. 5 is a diagram illustrating an example of component information stored in the component information storage unit 41.
In FIG. 5, examples of the component information include a component name, a component manufacturing date, a component serial number, and the like.

部品情報取得部42は、通信部43からの取得要求を受けて、部品情報記憶部41に記憶された部品情報を取得し、取得した部品情報を通信部43に送信する。   In response to the acquisition request from the communication unit 43, the component information acquisition unit 42 acquires the component information stored in the component information storage unit 41 and transmits the acquired component information to the communication unit 43.

装置情報記憶部44は、判定対象装置2に固有の情報である装置情報を記憶する。
図6は、装置情報記憶部44が記憶する装置情報の一例を示す図である。
図6において、装置情報の例としては、装置名、装置製造年月日、装置シリアル番号などが挙げられる。なお、本実施の形態では、装置情報は、バーコードや二次元コードなど、光学的に読み取り可能な形で記憶されているものとする。The device information storage unit 44 stores device information that is information unique to the determination target device 2.
FIG. 6 is a diagram illustrating an example of device information stored in the device information storage unit 44.
In FIG. 6, examples of device information include a device name, a device manufacturing date, a device serial number, and the like. In the present embodiment, it is assumed that the device information is stored in an optically readable form such as a barcode or a two-dimensional code.

署名記憶部45は、部品情報記憶部41が記憶する部品情報と、装置情報記憶部44が記憶する装置情報に対し、判定情報登録装置3の署名鍵対記憶部81が記憶する署名の生成鍵で署名生成処理を行なった結果である署名情報を記憶する。なお、本実施の形態では、署名情報は、バーコードや二次元コードなど、光学的に読み取り可能な形で記憶されているものとする。   The signature storage unit 45 generates a signature generation key stored in the signature key pair storage unit 81 of the determination information registration device 3 for the component information stored in the component information storage unit 41 and the device information stored in the device information storage unit 44. The signature information as a result of the signature generation process is stored. In the present embodiment, it is assumed that the signature information is stored in an optically readable form such as a barcode or a two-dimensional code.

通信部43は、判定対象装置2の外部との通信を行なう通信モジュールである。   The communication unit 43 is a communication module that performs communication with the outside of the determination target device 2.

図7は、判定対象装置2のハードウェア構成の一例を示す図である。
判定対象装置2はコンピュータであり、判定対象装置2の各構成要素をプログラムで実現することができる。判定対象装置2のハードウェア構成としては、バス70に、メモリ71、プロセッサ72、通信モジュール73、入力インタフェース74、ディスプレイ75が接続されている。FIG. 7 is a diagram illustrating an example of a hardware configuration of the determination target device 2.
The determination target device 2 is a computer, and each component of the determination target device 2 can be realized by a program. As a hardware configuration of the determination target apparatus 2, a memory 71, a processor 72, a communication module 73, an input interface 74, and a display 75 are connected to a bus 70.

メモリ71は、例えばRAM(Random Access Memory)等の主記憶装置や、ROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置等の外部記憶装置である。   The memory 71 is, for example, a main storage device such as a RAM (Random Access Memory), an external storage device such as a ROM (Read Only Memory), a flash memory, or a hard disk device.

プロセッサ72は、プログラムを実行するCPU(Central Processing Unit)等である。   The processor 72 is a CPU (Central Processing Unit) that executes a program.

通信モジュール73は、データの通信処理を実行する電子回路であり、例えば通信ボード等である。   The communication module 73 is an electronic circuit that executes data communication processing, and is, for example, a communication board.

入力インタフェース74は、判定対象装置2に対する入力データを処理するデバイスであり、例えば、タッチパネル、ハードウェアキー、マウス、キーボード等である。   The input interface 74 is a device that processes input data for the determination target device 2 and is, for example, a touch panel, a hardware key, a mouse, a keyboard, or the like.

ディスプレイ75は、判定対象装置2による出力データを表示するデバイスである。   The display 75 is a device that displays output data from the determination target apparatus 2.

プログラムは、通常はメモリ71に記憶されており、プロセッサ72に読み込まれ、実行される。このプログラムは、判定対象装置2を構成する部品情報取得部42、通信部43として説明している機能を実現するプログラムである。   The program is normally stored in the memory 71, and is read and executed by the processor 72. This program is a program that realizes the functions described as the component information acquisition unit 42 and the communication unit 43 that constitute the determination target device 2.

更に、メモリ71の外部記憶装置には、オペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置にロードされ、プロセッサ72は、OSを実行しながら、上記プログラムを実行する。   Further, an operating system (OS) is also stored in the external storage device of the memory 71. At least a part of the OS is loaded into the main storage device, and the processor 72 executes the above program while executing the OS. .

また、以下の実施の形態の説明において、部品情報記憶部41が記憶する情報やデータ、部品情報取得部42、通信部43の処理の結果を示す情報やデータや信号値や変数値が、メモリ71にファイルとして記憶されている。   In the description of the following embodiment, information and data stored in the component information storage unit 41, information, data, signal values, and variable values indicating processing results of the component information acquisition unit 42 and the communication unit 43 are stored in the memory. 71 is stored as a file.

なお、図7の構成は、あくまでも装置のハードウェア構成の一例を示すものであり、装置のハードウェア構成は図7に記載の構成に限らず、他の構成であってもよい。   7 is merely an example of the hardware configuration of the device, and the hardware configuration of the device is not limited to the configuration described in FIG. 7 and may be other configurations.

図8は、実施の形態1に係る判定情報登録装置3の一構成例を示す図である。
判定情報登録装置3は、真贋判定装置1や判定対象装置2に真贋判定用の情報である判定情報を登録する。
図8において、署名鍵対生成部80は、デジタル署名の利用に必要な、署名の生成鍵と検証鍵のペアを生成する。この生成鍵と検証鍵のペアを生成する処理は、既存の暗号技術である公開鍵暗号技術を用いて実現できる。例えば、署名の生成鍵としてRSA暗号の秘密鍵が生成され、署名の検証鍵として秘密鍵と対になるRSA暗号の公開鍵が生成される。FIG. 8 is a diagram illustrating a configuration example of the determination information registration apparatus 3 according to the first embodiment.
The determination information registration device 3 registers determination information, which is information for authenticity determination, in the authenticity determination device 1 or the determination target device 2.
In FIG. 8, a signature key pair generation unit 80 generates a pair of signature generation key and verification key necessary for using a digital signature. The process of generating the pair of the generation key and the verification key can be realized using a public key encryption technique that is an existing encryption technique. For example, an RSA encryption private key is generated as a signature generation key, and an RSA encryption public key paired with the secret key is generated as a signature verification key.

署名鍵対記憶部81は、署名鍵対生成部80が生成した署名の生成鍵と検証鍵のペアを記憶するメモリである。
図9は、署名鍵対記憶部81が記憶する生成鍵と検証鍵の一例を示す図である。
図9において、署名鍵対記憶部81は、生成鍵ksと検証鍵kvをペアにして記憶する。The signature key pair storage unit 81 is a memory that stores a signature generation key / verification key pair generated by the signature key pair generation unit 80.
FIG. 9 is a diagram illustrating an example of the generation key and the verification key stored in the signature key pair storage unit 81.
In FIG. 9, the signature key pair storage unit 81 stores the generated key ks and the verification key kv as a pair.

署名生成部82は、署名鍵対生成部80が生成した生成鍵を利用して、与えられた入力に対するデジタル署名である署名情報を生成する。この署名情報の生成処理は、既存の暗号技術である公開鍵暗号技術を用いて実現できる。   The signature generation unit 82 uses the generation key generated by the signature key pair generation unit 80 to generate signature information that is a digital signature for a given input. This signature information generation process can be realized by using public key encryption technology which is an existing encryption technology.

判定情報登録部84は、署名鍵対記憶部81が記憶する署名の検証鍵や、署名生成部82が生成した署名情報などを、真贋判定装置1や、判定対象装置2に登録する。本実施の形態のように、署名情報がバーコードなどの形で記憶される場合、判定情報登録部84は、バーコードなどを印刷するバーコード印刷機を含む。   The determination information registration unit 84 registers the signature verification key stored in the signature key pair storage unit 81, the signature information generated by the signature generation unit 82, and the like in the authenticity determination device 1 and the determination target device 2. When the signature information is stored in the form of a barcode or the like as in the present embodiment, the determination information registration unit 84 includes a barcode printer that prints the barcode or the like.

通信部83は、判定情報登録装置3の外部との通信を行なう通信モジュールである。   The communication unit 83 is a communication module that performs communication with the outside of the determination information registration device 3.

図10は、判定情報登録装置3のハードウェア構成の一例を示す図である。
判定情報登録装置3はコンピュータであり、判定情報登録装置3の各構成要素をプログラムで実現することができる。判定情報登録装置3のハードウェア構成としては、バス100に、メモリ101、プロセッサ102、バーコード印刷機103、通信モジュール104、入力インタフェース105、ディスプレイ106が接続されている。FIG. 10 is a diagram illustrating an example of a hardware configuration of the determination information registration device 3.
The determination information registration device 3 is a computer, and each component of the determination information registration device 3 can be realized by a program. As a hardware configuration of the determination information registration apparatus 3, a memory 101, a processor 102, a barcode printer 103, a communication module 104, an input interface 105, and a display 106 are connected to a bus 100.

メモリ101は、例えばRAM(Random Access Memory)等の主記憶装置や、ROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置等の外部記憶装置である。   The memory 101 is an external storage device such as a main storage device such as a RAM (Random Access Memory), a ROM (Read Only Memory), a flash memory, or a hard disk device.

プロセッサ102は、プログラムを実行するCPU(Central Processing Unit)等である。   The processor 102 is a CPU (Central Processing Unit) that executes a program.

バーコード印刷機103は、署名情報がバーコードなどの形で記憶される場合に、署名情報をバーコードにして印刷するデバイスである。   The barcode printer 103 is a device that prints signature information as a barcode when the signature information is stored in the form of a barcode or the like.

通信モジュール104は、データの通信処理を実行する電子回路であり、例えば通信ボード等である。   The communication module 104 is an electronic circuit that executes data communication processing, and is, for example, a communication board.

入力インタフェース105は、判定情報登録装置3に対する入力データを処理するデバイスであり、例えば、タッチパネル、ハードウェアキー、マウス、キーボード等である。   The input interface 105 is a device that processes input data to the determination information registration device 3, and is, for example, a touch panel, a hardware key, a mouse, a keyboard, or the like.

ディスプレイ106は、判定情報登録装置3の出力データを表示するデバイスである。   The display 106 is a device that displays output data of the determination information registration device 3.

プログラムは、通常はメモリ101に記憶されており、プロセッサ102に読み込まれ、実行される。このプログラムは、判定情報登録装置3を構成する署名鍵対生成部80、署名生成部82、通信部83、判定情報登録部84として説明している機能を実現するプログラムである。   The program is normally stored in the memory 101, read into the processor 102, and executed. This program is a program that implements the functions described as the signature key pair generation unit 80, the signature generation unit 82, the communication unit 83, and the determination information registration unit 84 that constitute the determination information registration device 3.

更に、メモリ101の外部記憶装置には、オペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置にロードされ、プロセッサ102は、OSを実行しながら、上記プログラムを実行する。   Further, an operating system (OS) is also stored in the external storage device of the memory 101. At least a part of the OS is loaded into the main storage device, and the processor 102 executes the above program while executing the OS. .

また、以下の実施の形態の説明において、署名鍵対記憶部81が記憶する情報やデータ、署名鍵対生成部80、署名生成部82、通信部83、判定情報登録部84の処理の結果を示す情報やデータや信号値や変数値が、メモリ101にファイルとして記憶されている。   In the following description of the embodiment, the information and data stored in the signature key pair storage unit 81, the processing results of the signature key pair generation unit 80, the signature generation unit 82, the communication unit 83, and the determination information registration unit 84 are shown. Information, data, signal values, and variable values to be shown are stored in the memory 101 as files.

なお、図10の構成は、あくまでも装置のハードウェア構成の一例を示すものであり、装置のハードウェア構成は図10に記載の構成に限らず、他の構成であってもよい。   Note that the configuration of FIG. 10 is merely an example of the hardware configuration of the device, and the hardware configuration of the device is not limited to the configuration described in FIG. 10 and may be other configurations.

図11は、実施の形態1に係る判定情報取得装置5の一構成例を示す図である。
判定情報取得装置5は、判定対象装置2から真贋判定用の判定情報を取得し、真贋判定を真贋判定装置1に依頼する。図11において、部品情報取得部110は、判定対象装置2の部品情報記憶部41が記憶する部品情報を取得する。部品情報の取得は、USB(Universal Serial Bus)接続などの有線接続を介して行なっても良いし、NFC(Near Field Communication)やRFID(Radio Frequency IDentifier)を利用した無線接続を介して行なっても良い。FIG. 11 is a diagram illustrating a configuration example of the determination information acquisition apparatus 5 according to the first embodiment.
The determination information acquisition device 5 acquires the determination information for authenticity determination from the determination target device 2 and requests the authenticity determination device 1 for authenticity determination. In FIG. 11, the component information acquisition unit 110 acquires the component information stored in the component information storage unit 41 of the determination target device 2. Acquisition of component information may be performed via a wired connection such as a USB (Universal Serial Bus) connection, or may be performed via a wireless connection using NFC (Near Field Communication) or RFID (Radio Frequency IDentifier). good.

装置情報取得部111は、判定対象装置2の装置情報記憶部44が記憶する装置情報や、署名情報記憶部45が記憶する署名情報を取得する。本実施の形態のように、装置情報や署名情報がバーコードなどの形で記憶されている場合、装置情報取得部111は、例えば、バーコードリーダーやカメラによって実現できる。   The device information acquisition unit 111 acquires device information stored in the device information storage unit 44 of the determination target device 2 and signature information stored in the signature information storage unit 45. When the device information and signature information are stored in the form of a barcode or the like as in the present embodiment, the device information acquisition unit 111 can be realized by, for example, a barcode reader or a camera.

表示部113は、真贋判定装置1から受け取った真贋判定結果などを表示するディスプレイである。   The display unit 113 is a display that displays the authentication result received from the authentication device 1.

通信部112は、判定情報取得装置5の外部との通信を行なう通信モジュールである。   The communication unit 112 is a communication module that performs communication with the outside of the determination information acquisition device 5.

図12は、判定情報取得装置5のハードウェア構成の一例を示す図である。
判定情報取得装置5はコンピュータであり、判定情報取得装置5の各構成要素をプログラムで実現することができる。判定情報取得装置5のハードウェア構成としては、バス120に、メモリ121、プロセッサ122、バーコードリーダ123、カメラ124、通信モジュール125、入力インタフェース126、ディスプレイ127が接続されている。FIG. 12 is a diagram illustrating an example of a hardware configuration of the determination information acquisition apparatus 5.
The determination information acquisition device 5 is a computer, and each component of the determination information acquisition device 5 can be realized by a program. As a hardware configuration of the determination information acquisition apparatus 5, a memory 121, a processor 122, a barcode reader 123, a camera 124, a communication module 125, an input interface 126, and a display 127 are connected to the bus 120.

メモリ121は、例えばRAM(Random Access Memory)等の主記憶装置や、ROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置等の外部記憶装置である。   The memory 121 is, for example, a main storage device such as a RAM (Random Access Memory), an external storage device such as a ROM (Read Only Memory), a flash memory, or a hard disk device.

プロセッサ122は、プログラムを実行するCPU(Central Processing Unit)等である。   The processor 122 is a CPU (Central Processing Unit) that executes a program.

バーコードリーダ123は、署名情報がバーコードなどの形で記憶される場合に、バーコードを読み取って署名情報を取得するデバイスである。   The barcode reader 123 is a device that reads the barcode and obtains the signature information when the signature information is stored in the form of a barcode or the like.

カメラ124は、バーコードリーダ123と同様に、署名情報がバーコードなどの形で記憶される場合に、バーコードを読み取って署名情報を取得する機能を持つカメラである。   Similar to the barcode reader 123, the camera 124 is a camera having a function of reading the barcode and acquiring the signature information when the signature information is stored in the form of a barcode or the like.

通信モジュール125は、データの通信処理を実行する電子回路であり、例えば通信ボード等である。   The communication module 125 is an electronic circuit that executes data communication processing, and is, for example, a communication board.

入力インタフェース126は、判定情報取得装置5に対する入力データを処理するデバイスであり、例えば、タッチパネル、ハードウェアキー、マウス、キーボード等である。   The input interface 126 is a device that processes input data to the determination information acquisition apparatus 5, and is, for example, a touch panel, a hardware key, a mouse, a keyboard, or the like.

ディスプレイ127は、判定情報取得装置5の出力データを表示するデバイスである。   The display 127 is a device that displays output data of the determination information acquisition device 5.

プログラムは、通常はメモリ121に記憶されており、プロセッサ122に読み込まれ、実行される。このプログラムは、判定情報取得装置5を構成する部品情報取得部110、装置情報取得部111、通信部112として説明している機能を実現するプログラムである。   The program is normally stored in the memory 121, and is read and executed by the processor 122. This program is a program that realizes the functions described as the component information acquisition unit 110, the device information acquisition unit 111, and the communication unit 112 that constitute the determination information acquisition device 5.

更に、メモリ121の外部記憶装置には、オペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置にロードされ、プロセッサ122は、OSを実行しながら、上記プログラムを実行する。   Furthermore, an operating system (OS) is also stored in the external storage device of the memory 121. At least a part of the OS is loaded into the main storage device, and the processor 122 executes the program while executing the OS. .

また、以下の実施の形態の説明において、部品情報取得部110、装置情報取得部111、通信部112の処理の結果を示す情報やデータや信号値や変数値が、メモリ121にファイルとして記憶されている。   In the following description of the embodiment, information, data, signal values, and variable values indicating the processing results of the component information acquisition unit 110, the device information acquisition unit 111, and the communication unit 112 are stored as files in the memory 121. ing.

なお、図12の構成は、あくまでも装置のハードウェア構成の一例を示すものであり、装置のハードウェア構成は図12に記載の構成に限らず、他の構成であってもよい。   The configuration in FIG. 12 is merely an example of the hardware configuration of the device, and the hardware configuration of the device is not limited to the configuration described in FIG. 12 and may be other configurations.

次に、実施の形態1に係る真贋判定システム4の動作の流れを説明する。真贋判定システム4の動作は、(1)システム全体の初期設定、(2)判定情報登録処理、(3)署名の検証鍵登録処理、(4)真贋判定処理、の四つの処理に大別される。以下、それぞれの処理について、フローチャートを参照しながら説明する。なお、装置間における情報の送受信には各装置の通信部が利用される。   Next, an operation flow of the authenticity determination system 4 according to the first embodiment will be described. The operation of the authenticity determination system 4 is roughly divided into four processes: (1) initial setting of the entire system, (2) determination information registration processing, (3) signature verification key registration processing, and (4) authentication determination processing. The Hereinafter, each processing will be described with reference to flowcharts. In addition, the communication part of each apparatus is utilized for transmission / reception of information between apparatuses.

上記の(1)〜(3)の処理では、判定情報登録装置3が、真贋判定装置1と判定対象装置2に対し、真贋判定に必要な情報である判定情報の登録を行なう。なお、本実施の形態では、本登録処理の前に、判定対象装置2が製造され、当該装置の部品情報が、部品情報記憶部41に記憶され、当該装置に関する固有の情報である装置情報が、装置情報記憶部44に記憶されているものとする。   In the processes (1) to (3) described above, the determination information registration device 3 registers determination information, which is information necessary for authenticity determination, to the authenticity determination device 1 and the determination target device 2. In the present embodiment, the determination target device 2 is manufactured before the main registration process, the component information of the device is stored in the component information storage unit 41, and device information that is unique information about the device is stored. , And stored in the device information storage unit 44.

図13は、実施の形態1に係る判定情報登録装置3の動作の流れを示すフローチャートである。
(1)システム全体の初期設定
まず、ステップS100において、判定情報登録装置3の署名鍵対生成部80が、デジタル署名の利用に必要な、署名の生成鍵kと検証鍵kのペアを生成する。署名の生成鍵kと検証鍵kの生成処理では、例えば、以下のような鍵生成アルゴリズムを実行する。
<鍵生成アルゴリズム>
Step1: 十分大きな素数p,qを生成し、n=pqとする。
Step2: φをオイラーのφ関数とし、φ(n)未満でφ(n)と互いに素な正数eを選ぶ。
Step3: ce=1 (mod φ(n))となる正数cを求める。
Step4: cを、秘密情報である生成鍵kとして決定し、e,nを、公開情報である検証鍵kとして決定する。FIG. 13 is a flowchart showing a flow of operation of the determination information registration apparatus 3 according to the first embodiment.
(1) Initial setting of the entire system First, in step S100, the signature key pair generation unit 80 of the determination information registration apparatus 3 sets a pair of signature generation key k s and verification key k v necessary for using the digital signature. Generate. In the generation process of the signature generation key k s and the verification key k v , for example, the following key generation algorithm is executed.
<Key generation algorithm>
Step 1: Generate sufficiently large prime numbers p and q, and set n = pq.
Step 2: Let φ be Euler's φ function, and select a positive number e that is less than φ (n) and relatively prime to φ (n).
Step 3: Obtain a positive number c such that ce = 1 (mod φ (n)).
Step 4: c is determined as a generated key k s that is secret information, and e and n are determined as a verification key k v that is public information.

署名鍵対生成部80は、生成した署名の生成鍵kと検証鍵kのペアを、署名鍵対記憶部81に格納する。以上が、(1)のシステム全体の初期設定の処理である。The signature key pair generation unit 80 stores a pair of the generated signature generation key k s and the verification key k v in the signature key pair storage unit 81. The above is the initial setting process of the entire system (1).

(2)判定情報登録処理
次に、ステップS101において、署名生成部82が、通信部83を介して、判定対象装置2の部品情報記憶部41から部品情報pを取得し、また、装置情報記憶部44から装置情報dを取得する。具体的には、署名生成部82は、判定対象装置2の通信部43に対して、部品情報pと装置情報dの取得要求を送信する。通信部43は、部品情報取得部42により部品情報記憶部41に記憶されている部品情報pを取得し、判定情報登録装置3の通信部83に部品情報pを送信する。また、通信部43は、装置情報記憶部44に記憶されている装置情報dを取得し、判定情報登録装置3の通信部83に装置情報dを送信する。通信部83は、受信した部品情報pと装置情報dを署名生成部82に送信する。(2) Determination Information Registration Process Next, in step S101, the signature generation unit 82 acquires the component information p from the component information storage unit 41 of the determination target device 2 via the communication unit 83, and stores the device information. Device information d is acquired from the unit 44. Specifically, the signature generation unit 82 transmits an acquisition request for component information p and device information d to the communication unit 43 of the determination target device 2. The communication unit 43 acquires the component information p stored in the component information storage unit 41 by the component information acquisition unit 42 and transmits the component information p to the communication unit 83 of the determination information registration device 3. The communication unit 43 acquires the device information d stored in the device information storage unit 44 and transmits the device information d to the communication unit 83 of the determination information registration device 3. The communication unit 83 transmits the received component information p and device information d to the signature generation unit 82.

なお、部品情報p、及び装置情報dは、例えば、部品情報記憶部41、及び装置情報記憶部44が記憶する個々の部品情報、装置情報の連結で与えられる。具体的には、図5の部品情報pの例では、p=XYZ−parts20141201111111で与えられ、図6の装置情報dの例では、d=ABC−device20150115012345で与えられる。   Note that the component information p and the device information d are given, for example, by connecting individual component information and device information stored in the component information storage unit 41 and the device information storage unit 44. Specifically, in the example of the component information p in FIG. 5, p = XYZ-parts201412011111111 is given, and in the example of the device information d in FIG. 6, d = ABC-device20130115012345 is given.

次に、ステップS102において、署名生成部82は、部品情報pと装置情報dとの連結として署名対象情報mを生成し、この署名対象情報mに対して、署名の生成鍵kで以下の署名生成演算Fsを行ない、署名情報sを生成する。
<署名生成演算>
s=Fs(m,c)=m (mod n)
ただし、m:署名対象情報、c:秘密情報、n:公開情報とする。
ここで、c=kであるので、
s=Fs(m,k)=mks (mod n)Next, in step S102, the signature generation unit 82 generates signature target information m as a concatenation of the component information p and the device information d, and the signature generation key k s for the signature target information m is as follows. A signature generation operation Fs is performed to generate signature information s.
<Signature generation operation>
s = Fs (m, c) = m c (mod n)
Here, m: signature target information, c: secret information, and n: public information.
Here, since it is c = k s,
s = Fs (m, k s ) = m ks (mod n)

次に、ステップS103において、判定情報登録部84が、署名情報sを、判定対象装置2の署名記憶部45に登録する。具体的には、判定情報登録部84は、通信部83を介して、判定対象装置2の通信部43に対して、署名情報sの登録要求を署名情報sとともに送信し、通信部43は、受信した署名情報sを、署名記憶部45に登録する。以上が、(2)の判定情報登録処理である。   Next, in step S <b> 103, the determination information registration unit 84 registers the signature information s in the signature storage unit 45 of the determination target device 2. Specifically, the determination information registration unit 84 transmits a registration request for the signature information s together with the signature information s to the communication unit 43 of the determination target device 2 via the communication unit 83. The received signature information s is registered in the signature storage unit 45. The above is the determination information registration process (2).

(3)署名の検証鍵登録処理
次に、ステップS104において、判定情報登録部84が、検証鍵kを真贋判定装置1に送信し、真贋判定装置1は、受信した検証鍵kを検証鍵記憶部20に登録する。以上が、(3)の署名の検証鍵登録処理である。(3) Signature verification key registration processing Next, in step S104, determination information registration section 84 transmits a verification key k v to authenticity determination device 1, the authenticity determination apparatus 1 verifies the verification key k v received Register in the key storage unit 20. The above is the signature verification key registration process of (3).

(4)真贋判定処理
次に、真贋判定処理では、上記(3)によって検証鍵を登録された真贋判定装置1が、判定対象装置2の正当性を判定する。
図14は、実施の形態1に係る真贋判定装置1の動作の流れを示すフローチャートである。
まず、ステップS200において、判定情報取得装置5の部品情報取得部110は、判定対象装置2の部品情報記憶部41が記憶する部品情報pを取得する。(4) Authenticity Determination Processing Next, in the authentication determination processing, the authentication determination device 1 registered with the verification key in (3) determines the validity of the determination target device 2.
FIG. 14 is a flowchart showing an operation flow of the authenticity determination apparatus 1 according to the first embodiment.
First, in step S200, the component information acquisition unit 110 of the determination information acquisition device 5 acquires the component information p stored in the component information storage unit 41 of the determination target device 2.

次に、ステップS201において、判定情報取得装置5の装置情報取得部111は、判定対象装置2の装置情報記憶部44が記憶する装置情報dと、署名記憶部45が記憶する署名情報sを取得する。   Next, in step S201, the device information acquisition unit 111 of the determination information acquisition device 5 acquires the device information d stored in the device information storage unit 44 of the determination target device 2 and the signature information s stored in the signature storage unit 45. To do.

次に、ステップS202において、判定情報取得装置5の通信部112は、取得した部品情報p、装置情報d、署名情報sの組を真贋判定装置1に送信する。   Next, in step S <b> 202, the communication unit 112 of the determination information acquisition device 5 transmits the acquired combination of component information p, device information d, and signature information s to the authenticity determination device 1.

次に、ステップS203において、真贋判定装置1の署名検証部21は、受信した署名情報sが、部品情報p、装置情報dに対する正しい署名情報であるかを、検証鍵kで署名検証演算Fを行なって検証する。具体的には、署名検証部21が、部品情報pと装置情報dとの連結として署名対象情報mを生成し、この署名対象情報mに対し、以下の署名検証演算Fvを行なって、署名対象情報mと署名情報sとの組の正当性を検証し、検証結果rを得る。
<署名検証演算>
r=Fv(m、s、e)=「検証成功」(m=s (mod n)の場合)
「検証失敗」(m≠s (mod n)の場合)
ただし、m:署名対象情報、s:署名情報、e、n:公開情報(検証鍵k)とする。Next, in step S203, the signature verification unit 21 of the authenticity determination apparatus 1, the received signature information s is the component information p, whether the correct signature information for device information d, verification key k v signature verification operations F Perform v to verify. Specifically, the signature verification unit 21 generates signature target information m as a concatenation of the component information p and the device information d, and performs the following signature verification calculation Fv on the signature target information m to obtain the signature target. The validity of the set of information m and signature information s is verified, and a verification result r is obtained.
<Signature verification operation>
r = Fv (m, s, e) = “successful verification” (when m = s e (mod n))
“Verification failure” (when m ≠ s e (mod n))
Here, m: signature target information, s: signature information, e, n: public information (verification key k v ).

次に、ステップS204において、判定部22が、署名検証部21による検証結果rに基づいて、検証は成功したか否かを判定する。検証結果rが「検証成功」であれば、Yesの分岐によりステップS205に進み、判定対象装置2が正当な装置であることを、判定情報取得装置5に通知する。検証結果rが「検証失敗」であれば、Noの分岐によりステップS206に進み、判定対象装置2が正当な装置でないことを、判定情報取得装置5に通知する。判定結果を通知された判定情報取得装置5は、表示部113に判定結果を、装置情報dとともに表示する。以上が、(4)の真贋判定処理である。   Next, in step S <b> 204, the determination unit 22 determines whether the verification is successful based on the verification result r by the signature verification unit 21. If the verification result r is “verification successful”, the process proceeds to step S205 due to a Yes branch, and notifies the determination information acquisition apparatus 5 that the determination target apparatus 2 is a valid apparatus. If the verification result r is “verification failure”, the process proceeds to step S206 due to a No branch, and notifies the determination information acquisition apparatus 5 that the determination target apparatus 2 is not a valid apparatus. The determination information acquisition device 5 notified of the determination result displays the determination result on the display unit 113 together with the device information d. The above is the authenticity determination process of (4).

以上のように、本実施の形態1の発明では、機器内部を構成する部品の情報も同時に取得して真贋判定を行なうことで、バーコードの複製による模倣品も検出可能にするという効果が得られる。部品情報p、装置情報d、署名情報sの組の正当性がデジタル署名技術によって確認されるため、悪意を持った攻撃者が装置情報d、署名情報sを含むようなバーコードだけ入手できたとしても、対応する部品が存在しない限り、真贋判定にパスするような模倣品を作ることはできない。   As described above, the invention according to the first embodiment has an effect of making it possible to detect counterfeit products by duplicating barcodes by simultaneously acquiring information on the components constituting the inside of the device and performing authenticity determination. It is done. Since the legitimacy of the set of component information p, device information d, and signature information s is confirmed by digital signature technology, a malicious attacker can obtain only a barcode including the device information d and signature information s. However, as long as there is no corresponding part, it is not possible to make a counterfeit product that passes the authentication.

また、対応する部品が存在する場合でも、部品の複製はバーコードの複製よりも困難であるため、模倣品の製造を困難にすることができる。また、廃棄された部品だけを入手した攻撃者が、真贋判定にパスするような模倣品を製造することが困難という効果もある。   Further, even when there is a corresponding part, it is more difficult to duplicate the part than to duplicate the barcode, so that it is possible to make it difficult to manufacture a counterfeit product. In addition, there is an effect that it is difficult for an attacker who obtains only discarded parts to manufacture a counterfeit product that passes the authenticity determination.

なお、本実施の形態1では、公開鍵暗号に基づくデジタル署名技術を用い、署名の生成鍵と検証鍵を別の値としているが、共通鍵暗号に基づくデジタル署名技術として、例えば、HMAC(Hash−based Message Authentication Code)などの技術を利用しても良い。この場合、署名の生成鍵と検証鍵は、同一の値となる。   In the first embodiment, a digital signature technique based on public key cryptography is used, and a signature generation key and a verification key have different values. However, as a digital signature technique based on common key cryptography, for example, HMAC (Hash) A technique such as -based Message Authentication Code) may be used. In this case, the signature generation key and the verification key have the same value.

また、本実施の形態1では、(4)の真贋判定処理において、真贋判定装置1は、署名検証だけを行なっているが、真贋判定に関する追加の検証を行なっても良い。追加の検証の例としては、部品情報と装置情報に同一の情報を含めておき、その同一性を確認する検証方法、または、部品製造年月日と装置製造年月日との関係の妥当性を確認する検証方法、または、真贋判定の履歴を記憶しておき、その履歴との整合性を確認する検証方法、などが挙げられる。   In the first embodiment, in the authenticity determination process of (4), the authenticity determination device 1 performs only signature verification. However, additional verification related to authenticity determination may be performed. As an example of additional verification, the same information is included in the part information and the device information, and the verification method for confirming the identity, or the validity of the relationship between the part manufacturing date and the device manufacturing date Or a verification method for storing a history of authenticity determination and confirming consistency with the history.

また、本実施の形態1では、部品情報と装置情報から署名情報を生成しているが、部品情報だけから署名情報を生成しても良い。特に、判定対象装置2に装置情報記憶部44を持たせなくても良い。ただし、この場合、上述したような真贋判定装置1における追加の検証方法が制限されることになる。   In the first embodiment, the signature information is generated from the component information and the device information. However, the signature information may be generated only from the component information. In particular, the determination target device 2 may not have the device information storage unit 44. However, in this case, an additional verification method in the authenticity determination device 1 as described above is limited.

また、本実施の形態1では、(2)の判定情報登録処理の前に、判定対象装置2に関する部品情報と装置情報が、部品情報記憶部41、装置情報記憶部44に格納されているとしたが、判定情報登録装置3が、判定対象装置2に部品情報と装置情報を格納しても良い。   In the first embodiment, the component information and device information related to the determination target device 2 are stored in the component information storage unit 41 and the device information storage unit 44 before the determination information registration process (2). However, the determination information registration device 3 may store the component information and the device information in the determination target device 2.

また、本実施の形態1では、判定対象装置2の装置情報記憶部44と署名記憶部45を分けて記載したが、これらを同一の記憶領域にまとめて記憶しても良い。特に、装置情報と署名情報を単一のバーコード内に含めても良い。   In the first embodiment, the device information storage unit 44 and the signature storage unit 45 of the determination target device 2 are described separately. However, they may be stored together in the same storage area. In particular, device information and signature information may be included in a single barcode.

また、本実施の形態1では、判定対象装置2が単一の部品を持つとしたが、判定対象装置2が複数の部品を持っていても良い。複数の部品に対する複数の部品情報を持つ場合、署名対象情報に全ての部品情報を含めることで、全ての部品の組み合わせが正しいかを検証することができる。   In the first embodiment, the determination target device 2 has a single component, but the determination target device 2 may have a plurality of components. In the case of having a plurality of parts information for a plurality of parts, it is possible to verify whether the combination of all the parts is correct by including all the parts information in the signature target information.

また、本実施の形態1では、部品情報や装置情報の連結として署名対象情報を生成したが、各情報に基づいて確定的に生成されるのであれば、どのような方法で署名対象情報を生成しても良い。   In the first embodiment, the signature target information is generated as a concatenation of the component information and the device information. However, if the signature target information is definitely generated based on each information, the signature target information is generated by any method. You may do it.

また、本実施の形態1では、判定情報取得装置5と真贋判定装置1を別々の装置としているが、一つの装置で両方の機能を兼ねるようにしても良い。また、本実施の形態では、判定情報登録装置3と真贋判定装置1を別々の装置としているが、一つの装置で両方の機能を兼ねるようにしても良い。   In the first embodiment, the determination information acquisition device 5 and the authenticity determination device 1 are separate devices. However, a single device may serve both functions. In the present embodiment, the determination information registration device 3 and the authenticity determination device 1 are separate devices, but a single device may serve both functions.

また、本実施の形態1では、判定情報登録装置3が、全ての判定対象装置で共通の生成鍵、検証鍵を利用しているが、判定対象装置ごとに異なる生成鍵、検証鍵を生成しても良い。ただし、この場合は、真贋判定装置1の検証鍵記憶部20が、複数の検証鍵を、各判定対象装置と対応付けた形で記憶する必要がある。   In the first embodiment, the determination information registration device 3 uses a generation key and a verification key that are common to all determination target devices, but generates a different generation key and verification key for each determination target device. May be. However, in this case, it is necessary for the verification key storage unit 20 of the authenticity determination device 1 to store a plurality of verification keys in association with each determination target device.

実施の形態2.
実施の形態1では、判定情報取得装置5が判定対象装置2から部品情報、装置情報、署名情報を取得して真贋判定を実施した。この際、装置情報、及び署名情報は、バーコードや二次元コードなど、光学的に読み取り可能な形で記憶されているものとしたため、これらの情報は、簡易な操作で取得可能であった。一方で、部品は判定対象装置2内部にあるため、部品情報は、例えば、USB接続などの有線接続や、NFCやRFIDなどの無線接続を介して取得する必要がある。しかし、USB接続などを利用する場合、判定対象装置2が大量にある場合は、判定ごとに接続を切り替える必要があり、操作が煩雑になるという課題がある。NFCやRFIDなどの無線接続の場合は、この問題は発生しないが、かわりに、判定対象装置2、判定情報取得装置5のそれぞれに、NFCやRFIDを利用するための追加の構成要素(例えば、ICチップや専用の回路など)が必要となり、各装置のコスト上昇につながってしまう。Embodiment 2. FIG.
In the first embodiment, the determination information acquisition device 5 acquires component information, device information, and signature information from the determination target device 2 and performs authenticity determination. At this time, since the device information and the signature information are stored in an optically readable form such as a bar code or a two-dimensional code, the information can be acquired by a simple operation. On the other hand, since the component is in the determination target apparatus 2, the component information needs to be acquired through a wired connection such as a USB connection or a wireless connection such as NFC or RFID. However, when using a USB connection or the like, if there are a large number of determination target devices 2, it is necessary to switch the connection for each determination, and there is a problem that the operation becomes complicated. In the case of a wireless connection such as NFC or RFID, this problem does not occur, but instead, an additional component for using NFC or RFID (for example, for each of the determination target device 2 and the determination information acquisition device 5) IC chip, dedicated circuit, etc.) are required, leading to an increase in the cost of each device.

一方で、装置がインターネットなどのネットワークに接続する機能を持つことは、近年、一般的になっており、装置が、常時、ネットワーク接続されているケースも増えている。この場合、部品情報を、接続済みのネットワーク(例えば、インターネット)を介して取得すれば、上述した操作の手間、装置のコスト上昇なしに、部品情報を利用した真贋判定が可能となる。本実施の形態2では、接続済みのネットワークを介して部品情報を取得することで、バーコード単体の場合と同程度の手間で、バーコード単体の場合よりも精度の高い判定を行なえる真贋判定システムを実現する実施の形態を説明する。   On the other hand, in recent years, it has become common for devices to have a function of connecting to a network such as the Internet, and there are increasing cases in which devices are always connected to a network. In this case, if the component information is acquired via a connected network (for example, the Internet), the authenticity determination using the component information can be performed without the above-described operation and the cost of the apparatus. In the second embodiment, authenticity determination can be performed with higher accuracy than in the case of a single barcode, with the same level of effort as in the case of a single barcode, by acquiring component information via a connected network. An embodiment for realizing the system will be described.

次に、実施の形態2に係る真贋判定装置1の構成を説明する。
図15は、実施の形態2に係る真贋判定装置1により、ネットワーク接続済みである判定対象装置2の正当性を判定する真贋判定システムの一構成例を示す図である。
図15において、真贋判定システム4は、ネットワーク接続済みである判定対象装置2と、判定対象装置2から真贋を判定するための判定情報を取得する判定情報取得装置5を備えている。また、真贋判定装置1は、ネットワーク6を介して判定情報取得装置5に接続され、判定情報取得装置5が取得した判定情報に基づいて、判定対象装置2の正当性を、デジタル署名技術を利用して判定する。Next, the configuration of the authenticity determination device 1 according to the second embodiment will be described.
FIG. 15 is a diagram illustrating a configuration example of the authenticity determination system that determines the validity of the determination target apparatus 2 that is already connected to the network by the authenticity determination apparatus 1 according to the second embodiment.
In FIG. 15, the authenticity determination system 4 includes a determination target device 2 that is already connected to the network, and a determination information acquisition device 5 that acquires determination information for determining authenticity from the determination target device 2. Further, the authenticity determination device 1 is connected to the determination information acquisition device 5 via the network 6, and based on the determination information acquired by the determination information acquisition device 5, the validity of the determination target device 2 is obtained using digital signature technology. Judgment.

実施の形態1と同様に、真贋判定装置1と判定対象装置2には、真贋判定システム4が工場で製造される際に、判定情報登録装置3によって、真贋を判定するための判定情報が登録される。その後、判定情報が登録された真贋判定装置1と判定対象装置2を備えた真贋判定システム4が、製品として工場から出荷される。   As in the first embodiment, when the authenticity determination system 4 is manufactured in a factory, the determination information registration apparatus 3 registers determination information for determining authenticity in the authenticity determination apparatus 1 and the determination target apparatus 2. Is done. Thereafter, the authenticity determination system 4 including the authenticity determination device 1 and the determination target device 2 in which the determination information is registered is shipped from the factory as a product.

図16は、実施の形態2に係る真贋判定装置1の一構成例を示す図である。
真贋判定装置1は、判定情報取得装置5からの依頼を受け、デジタル署名技術を利用して判定対象装置2の真贋判定を行なう。図16において、受信データ検証部160は、通信部23が受信した部品情報、装置情報、署名情報の組のデータに対して正当性を検証する。その他の構成については、実施の形態1と同様である。FIG. 16 is a diagram illustrating a configuration example of the authenticity determination device 1 according to the second embodiment.
The authenticity determination device 1 receives a request from the determination information acquisition device 5 and determines the authenticity of the determination target device 2 using a digital signature technique. In FIG. 16, the received data verification unit 160 verifies the validity of the set of component information, device information, and signature information received by the communication unit 23. Other configurations are the same as those in the first embodiment.

また、真贋判定装置1のハードウェア構成は、図3に示す構成と同様であり、メモリ31に格納されるプログラムが、受信データ検証部160の機能を実現する。   Further, the hardware configuration of the authenticity determination device 1 is the same as that shown in FIG. 3, and the program stored in the memory 31 realizes the function of the received data verification unit 160.

図17は、実施の形態2に係る判定対象装置2の一構成例を示す図である。
判定対象装置2は、自身が正当な装置であることを証明するための判定情報を記憶し、判定情報取得装置5に判定情報を送信する。FIG. 17 is a diagram illustrating a configuration example of the determination target device 2 according to the second embodiment.
The determination target device 2 stores determination information for proving that it is a legitimate device, and transmits the determination information to the determination information acquisition device 5.

図17において、入力部170は、判定対象装置2の外部からの入力を受け付ける。入力部170は、ボタンやタッチパネルなどを用いて実現できる。   In FIG. 17, the input unit 170 receives an input from the outside of the determination target device 2. The input unit 170 can be realized using a button, a touch panel, or the like.

通信部43は、外部との通信を行なう通信モジュールである。本実施の形態2では、判定対象装置2が通信部43を介して、常時、ネットワーク接続されており、真贋判定装置1と通信可能な状態になっているものとする。   The communication unit 43 is a communication module that performs communication with the outside. In the second embodiment, it is assumed that the determination target device 2 is always connected to the network via the communication unit 43 and is communicable with the authenticity determination device 1.

図17におけるその他の構成については、実施の形態1の判定対象装置2における同名の構成と同様である。   The other configuration in FIG. 17 is the same as the configuration of the same name in the determination target device 2 of the first embodiment.

また、判定対象装置2のハードウェア構成は、図7に示す構成と同様であり、入力部170は、入力インタフェース74である。   Further, the hardware configuration of the determination target device 2 is the same as the configuration illustrated in FIG. 7, and the input unit 170 is the input interface 74.

図18は、実施の形態2に係る判定情報取得装置5の一構成例を示す図である。
判定情報取得装置5は、判定対象装置2から真贋判定用の判定情報を取得し、真贋判定を真贋判定装置1に依頼する。
図18の各構成については、実施の形態1の判定情報取得装置5における同名の構成と同様である。ただし、実施の形態1の判定情報取得装置5と異なり、部品情報取得部110は、備えていない。FIG. 18 is a diagram illustrating a configuration example of the determination information acquisition apparatus 5 according to the second embodiment.
The determination information acquisition device 5 acquires the determination information for authenticity determination from the determination target device 2 and requests the authenticity determination device 1 for authenticity determination.
Each configuration in FIG. 18 is the same as the configuration of the same name in the determination information acquisition device 5 of the first embodiment. However, unlike the determination information acquisition device 5 of the first embodiment, the component information acquisition unit 110 is not provided.

次に、実施の形態2に係る真贋判定システム4の動作の流れを説明する。真贋判定システム4の動作は、実施の形態1と同様に、(1)システム全体の初期設定、(2)判定情報登録処理、(3)署名の検証鍵登録処理、(4)真贋判定処理、の四つに大別される。これらの内、(1)〜(3)の処理については、実施の形態1と同様であるので、説明を省略する。以下、(4)真贋判定処理について説明する。   Next, an operation flow of the authenticity determination system 4 according to the second embodiment will be described. As in the first embodiment, the operation of the authenticity determination system 4 includes (1) initial setting of the entire system, (2) determination information registration processing, (3) signature verification key registration processing, (4) authenticity determination processing, It is roughly divided into four. Among these, the processes (1) to (3) are the same as those in the first embodiment, and thus the description thereof is omitted. Hereinafter, (4) authenticity determination processing will be described.

(4)真贋判定処理
図19は、実施の形態2に係る真贋判定装置1の動作の流れを示すフローチャートである。
まず、ステップS300において、判定情報取得装置5の装置情報取得部111は、判定対象装置2の装置情報記憶部44が記憶する装置情報dと、署名記憶部45が記憶する署名情報sを取得する。(4) Authenticity Determination Processing FIG. 19 is a flowchart showing an operation flow of the authentication determination device 1 according to the second embodiment.
First, in step S300, the device information acquisition unit 111 of the determination information acquisition device 5 acquires the device information d stored in the device information storage unit 44 of the determination target device 2 and the signature information s stored in the signature storage unit 45. .

次に、ステップS301において、判定情報取得装置5の通信部112は、取得した装置情報dと署名情報sの組を真贋判定装置1に送信する。なお、通信部112の送信処理の実行状況は、表示部113に表示され、操作者が送信処理の実行状況を視認して確認することができる。   Next, in step S <b> 301, the communication unit 112 of the determination information acquisition device 5 transmits the acquired combination of the device information d and the signature information s to the authenticity determination device 1. Note that the execution status of the transmission process of the communication unit 112 is displayed on the display unit 113 so that the operator can visually confirm the execution status of the transmission process.

次に、ステップS302において、操作者が判定対象装置2の入力部170を操作し、この操作を契機として、判定対象装置2の通信部43が、部品情報pを真贋判定装置1に送信する。なお、入力部170への操作は、ステップS301の判定情報取得装置5による送信の前後一定時間内であれば良く、送信の直後、送信と同時、送信の直前であっても良い。   Next, in step S <b> 302, the operator operates the input unit 170 of the determination target device 2, and the communication unit 43 of the determination target device 2 transmits the component information p to the authenticity determination device 1 triggered by this operation. The operation on the input unit 170 may be performed within a certain period of time before and after transmission by the determination information acquisition device 5 in step S301, and may be immediately after transmission, simultaneously with transmission, or immediately before transmission.

次に、ステップS303において、受信データ検証部160が、受信した装置情報d、署名情報s、部品情報pの組の正当性を検証する。具体的には、受信した装置情報d、署名情報s、部品情報pが、同一の操作者からもたらされた情報であるかどうかを、受信時刻、または送信時刻や、IPアドレスなどの情報に基づいて検証する。例えば、これらの情報を一定時間内に受信した場合には、同一の操作者からもたらされた情報であると判定する。   Next, in step S303, the received data verification unit 160 verifies the validity of the set of the received device information d, signature information s, and component information p. Specifically, whether the received device information d, signature information s, and component information p are information provided by the same operator is included in information such as reception time, transmission time, and IP address. Verify based on. For example, when these pieces of information are received within a certain period of time, it is determined that the information comes from the same operator.

次に、ステップS304において、受信データ検証部160が、ステップS303で実行した検証が成功したか否かを判定する。例えば、装置情報d、署名情報s、部品情報pの情報を一定時間内に受信しているため、同一の操作者からもたらされた情報であると判定した場合には、検証が成功したと判定し、Yesの分岐によりステップS305に進む。一方、検証に失敗したと判定した場合には、Noの分岐によりステップS306に進み、判定対象装置2が正当な装置でないことを、判定情報取得装置5に通知して処理を終了する。   Next, in step S304, the received data verification unit 160 determines whether or not the verification executed in step S303 is successful. For example, since the device information d, the signature information s, and the component information p are received within a certain time, if it is determined that the information is provided by the same operator, the verification is successful. Determination is made, and the process proceeds to step S305 due to a Yes branch. On the other hand, if it is determined that the verification is unsuccessful, the process proceeds to step S306 due to a No branch, notifies the determination information acquisition apparatus 5 that the determination target apparatus 2 is not a valid apparatus, and ends the process.

次に、ステップS305において、真贋判定装置1の署名検証部21は、受信した署名情報sが、部品情報p、装置情報dに対する正しい署名情報であるかを、検証鍵kで署名検証演算Fを行なって検証する。具体的には、実施の形態1のステップS203と同様に、署名検証部21が、部品情報pと装置情報dとの連結として署名対象情報mを生成し、この署名対象情報mに対し、以下の署名検証演算Fvを行なって、署名対象情報mと署名情報sとの組の正当性を検証し、検証結果rを得る。
<署名検証演算>
r=Fv(m、s、e)=「検証成功」(m=s (mod n)の場合)
「検証失敗」(m≠s (mod n)の場合)
ただし、m:署名対象情報、s:署名情報、e、n:公開情報(検証鍵k)とする。Next, in step S305, the signature verification unit 21 of the authenticity determination apparatus 1, the received signature information s is the component information p, whether the correct signature information for device information d, verification key k v signature verification operations F Perform v to verify. Specifically, as in step S203 of the first embodiment, the signature verification unit 21 generates signature target information m as a concatenation of the component information p and the device information d. The signature verification calculation Fv is performed to verify the validity of the set of the signature object information m and the signature information s, and the verification result r is obtained.
<Signature verification operation>
r = Fv (m, s, e) = “successful verification” (when m = s e (mod n))
“Verification failure” (when m ≠ s e (mod n))
Here, m: signature target information, s: signature information, e, n: public information (verification key k v ).

次に、ステップS307において、判定部22が、署名検証部21による検証結果rに基づいて、検証は成功したか否かを判定する。検証結果rが「検証成功」であれば、Yesの分岐によりステップS308に進み、判定対象装置2が正当な装置であることを、判定情報取得装置5に通知する。検証結果rが「検証失敗」であれば、Noの分岐によりステップS309に進み、判定対象装置2が正当な装置でないことを、判定情報取得装置5に通知する。判定結果を通知された判定情報取得装置5は、表示部113に判定結果を、装置情報dとともに表示する。なお、同一の操作者からもたらされた可能性のある組が複数存在する場合、全ての組に対して署名検証演算を実施する。   Next, in step S <b> 307, the determination unit 22 determines whether the verification is successful based on the verification result r by the signature verification unit 21. If the verification result r is “verification successful”, the process proceeds to step S308 due to a Yes branch, and notifies the determination information acquisition apparatus 5 that the determination target apparatus 2 is a valid apparatus. If the verification result r is “verification failure”, the process proceeds to step S309 due to a No branch, and notifies the determination information acquisition apparatus 5 that the determination target apparatus 2 is not a valid apparatus. The determination information acquisition device 5 notified of the determination result displays the determination result on the display unit 113 together with the device information d. Note that when there are a plurality of possible combinations from the same operator, the signature verification operation is performed on all the combinations.

検証結果rを受信した判定情報取得装置5の表示部113は、検証結果rが「検証成功」であれば判定対象装置2が正当な装置であるという判定結果を表示し、検証結果rが「検証失敗」であれば判定対象装置2が正当な装置でないという判定結果を表示する。
以上が、(4)の真贋判定処理である。The display unit 113 of the determination information acquisition device 5 that has received the verification result r displays the determination result that the determination target device 2 is a valid device if the verification result r is “verification success”, and the verification result r is “ If “Verification failed”, a determination result that the determination target device 2 is not a valid device is displayed.
The above is the authenticity determination process of (4).

以上のように、本実施の形態の発明では、操作者の入力操作により、真贋判定装置1が、判定対象装置2の部品情報pを接続済みのネットワークを介して取得し、別途受信した装置情報dと署名情報sに対して、取得した部品情報pが正当なデータであるか否かを検証する処理を追加したことにより、バーコード単体で真贋判定を行なう場合と同程度の手間で、バーコード単体の場合よりも精度の高い真贋判定を行なえるという効果がある。   As described above, in the invention according to the present embodiment, the authenticity determination device 1 acquires the component information p of the determination target device 2 through the connected network and receives it separately by an operator's input operation. With respect to d and signature information s, a process for verifying whether or not the acquired component information p is valid data has been added. There is an effect that the authenticity determination can be performed with higher accuracy than in the case of the code alone.

なお、操作者が判定対象装置2の入力部170を操作して部品情報pを明示的に送信することにより、真贋判定装置1の判定部22が、別々の装置から受信した部品情報pと、装置情報d、署名情報sとが、同一の操作者からもたらされた情報であると判定することを可能としている。   Note that when the operator operates the input unit 170 of the determination target device 2 to explicitly transmit the component information p, the determination unit 22 of the authenticity determination device 1 receives the component information p received from different devices, It is possible to determine that the device information d and the signature information s are information brought from the same operator.

また、実施の形態1に記載した実施のバリエーションは、本実施の形態2についても同様に適用可能である。   Further, the variation of the implementation described in the first embodiment can be similarly applied to the second embodiment.

また、本実施の形態2では、(4)の真贋判定処理において、真贋判定装置1の判定部22が、部品情報p、装置情報d、署名情報sの正当性の検証を行なっているが、判定対象装置2と判定情報取得装置5に、それぞれ位置情報取得部を持たせ、各装置の位置情報も送信することで、位置情報を利用して、判定対象装置2の正当性の検証を行なうことも可能である。具体的には、各装置の位置情報に基づき、各装置の距離が一定以下と判断される場合に、各情報が同一の操作者からもたらされたと判定する。なお、位置情報取得部は、GPS(Global Positioning System)などを利用して実現できる。   In the second embodiment, in the authenticity determination process (4), the determination unit 22 of the authenticity determination device 1 verifies the validity of the component information p, the device information d, and the signature information s. The determination target device 2 and the determination information acquisition device 5 are each provided with a position information acquisition unit, and the position information of each device is also transmitted, so that the validity of the determination target device 2 is verified using the position information. It is also possible. Specifically, based on the position information of each device, when it is determined that the distance between the devices is equal to or less than a certain value, it is determined that the information is provided by the same operator. The position information acquisition unit can be realized using GPS (Global Positioning System) or the like.

また、判定対象装置2の正当性の検証を行なう別の方法として、判定情報取得装置5に乱数生成部を持たせ、判定情報取得装置5で生成、表示した乱数を判定対象装置2の入力部170に入力し、この乱数を各装置から真贋判定装置1に送信することも可能である。逆に、判定対象装置2に乱数生成部と表示部を持たせ、判定情報取得装置5に入力部を持たせることでも同様のことが実現できる。なお、表示された乱数は各装置に手入力しても良いし、乱数読み取り部を持たせて機械的に読み取っても良い。   As another method for verifying the validity of the determination target device 2, the determination information acquisition device 5 has a random number generation unit, and the random number generated and displayed by the determination information acquisition device 5 is input to the determination target device 2. It is also possible to input the random number to 170 and transmit the random number from each device to the authenticity determination device 1. Conversely, the same can be realized by providing the determination target device 2 with a random number generation unit and a display unit, and providing the determination information acquisition device 5 with an input unit. The displayed random number may be manually input to each device, or may be mechanically read by providing a random number reading unit.

また、本実施の形態2では、真贋判定装置1で、判定対象装置2の正当性の検証を行なっているが、真贋判定装置1に乱数生成部を持たせ、同一の乱数を判定対象装置2と判定情報取得装置5に送信して表示させ、操作者が乱数の同一性を確認することにより、判定対象装置2の正当性を確認することも可能である。この場合、真贋判定装置1が、装置情報dから装置、もしくは装置のIPアドレスを特定することができれば、判定対象装置2の入力部170は不要であり、真贋判定装置1が自動で、判定対象装置2の部品情報記憶部41が記憶する部品情報pを取得することも可能である。   In the second embodiment, the authenticity determination device 1 verifies the validity of the determination target device 2. However, the authenticity determination device 1 has a random number generation unit so that the same random number is assigned to the determination target device 2. It is also possible to confirm the legitimacy of the determination target device 2 by transmitting it to the determination information acquisition device 5 and displaying it, and confirming the identity of the random number by the operator. In this case, if the authenticity determination device 1 can identify the device or the IP address of the device from the device information d, the input unit 170 of the determination target device 2 is not necessary, and the authenticity determination device 1 automatically determines the determination target. It is also possible to acquire the component information p stored in the component information storage unit 41 of the device 2.

1 真贋判定装置、2 判定対象装置、3 判定情報登録装置、4 真贋判定システム、5 判定情報取得装置、6 インターネット、20 検証鍵記憶部、21 署名検証部、22 判定部、23 43 83 112 通信部、30 70 100 120 バス、31 71 101 121 メモリ、32 72 102 122 プロセッサ、33 73 104 125 通信モジュール、34 74 105 126 入力インタフェース、35 75 106 127 ディスプレイ、40 部品、41 部品情報記憶部、42 部品情報取得部、44 装置情報記憶部、45 署名記憶部、80 署名鍵対生成部、81 署名鍵対記憶部、82 署名生成部、84 判定情報登録部、103 バーコード印刷機、110 部品情報取得部、111 装置情報取得部、113 表示部、123 バーコードリーダ、124 カメラ、160 受信データ検証部、170 入力部。 DESCRIPTION OF SYMBOLS 1 Authentication determination apparatus, 2 Determination object apparatus, 3 Determination information registration apparatus, 4 Authentication determination system, 5 Determination information acquisition apparatus, 6 Internet, 20 Verification key memory | storage part, 21 Signature verification part, 22 Determination part, 23 43 83 112 Communication Unit, 30 70 100 120 bus, 31 71 101 121 memory, 32 72 102 122 processor, 33 73 104 125 communication module, 34 74 105 126 input interface, 35 75 106 127 display, 40 components, 41 component information storage unit, 42 Component information acquisition unit, 44 Device information storage unit, 45 Signature storage unit, 80 Signature key pair generation unit, 81 Signature key pair storage unit, 82 Signature generation unit, 84 Judgment information registration unit, 103 Bar code printer, 110 Component information Acquisition unit, 111 Device information The resulting unit, 113 display unit, 123 a bar code reader, 124 camera, 160 received the data verification unit, 170 input unit.

Claims (4)

真贋が判定される判定対象装置の内部を構成する部品の情報を示す部品情報と、前記判定対象装置の固有の情報を示す装置情報と、前記判定対象装置の前記装置情報と前記部品情報との組に対する署名情報とを受信する通信部と、
前記署名情報を生成した生成鍵に対応する検証鍵を記憶する検証鍵記憶部と、
前記検証鍵を用いて、前記通信部により受信した前記部品情報と前記装置情報と前記署名情報との組の正当性を検証する署名検証部と、
前記署名検証部が検証した前記正当性に基づいて前記判定対象装置の真贋を判定する判定部と
前記判定対象装置からネットワーク経由で前記部品情報を取得し、前記判定対象装置から前記装置情報と前記署名情報とを取得する判定情報取得装置から前記通信部が受信した前記装置情報と前記署名情報と、取得した前記部品情報との組に対する正当性を検証する受信データ検証部を備え、
前記署名検証部は、前記受信データ検証部が正当性を検証した前記部品情報と前記装置情報と前記署名情報との組に対して正当性を検証する真贋判定装置。 Component information indicating information of components constituting the inside of the determination target device for which authenticity is determined, device information indicating unique information of the determination target device, the device information of the determination target device, and the component information A communication unit for receiving signature information for the pair;
A verification key storage unit that stores a verification key corresponding to the generated key that generated the signature information;
A signature verification unit that verifies the validity of a set of the component information, the device information, and the signature information received by the communication unit, using the verification key;
A determination unit that determines authenticity of the determination target device based on the validity verified by the signature verification unit ;
The device information and the signature information received by the communication unit from a determination information acquisition device that acquires the component information from the determination target device via a network and acquires the device information and the signature information from the determination target device. , and a reception data verifying unit for verifying the validity for the set of the acquired component information,
The signature verification unit, true counterfeit determination device that to verify the authenticity of the component information received data verification unit has verified the validity and the device information to the set of the said signature information. 前記装置情報と前記署名情報とが前記判定対象装置に光学的に読み取り可能な形で記憶されている請求項1記載の真贋判定装置。 The authenticity determination device according to claim 1, wherein the device information and the signature information are stored in an optically readable form in the determination target device. 自らの固有の情報を示す装置情報を記憶する装置情報記憶部と、自らの内部を構成する部品の情報を示す部品情報を記憶する部品情報記憶部と、前記装置情報と前記部品情報との組に対する署名情報を記憶する署名記憶部とを備える判定対象装置と、
前記判定対象装置から前記装置情報と前記署名情報とを取得する装置情報取得部を備え、前記装置情報と前記署名情報とを送信する判定情報取得装置と、
前記判定対象装置から前記部品情報を受信し、前記判定情報取得装置から前記装置情報と前記署名情報とを受信する通信部と、前記通信部により受信した前記部品情報と前記装置情報と前記署名情報との組に対する正当性を検証する受信データ検証部と、前記署名情報を生成した生成鍵に対応する検証鍵を記憶する検証鍵記憶部と、前記検証鍵を用いて、前記受信データ検証部が正当性を検証した前記部品情報と前記装置情報と前記署名情報との組の正当性を検証する署名検証部と、前記署名検証部が検証した前記正当性に基づいて前記判定対象装置の真贋を判定する判定部とを備える真贋判定装置と
を備える真贋判定システム。 A device information storage unit for storing device information indicating its own unique information, a component information storage unit for storing component information indicating information of components constituting its own, and a combination of the device information and the component information A determination target device including a signature storage unit that stores signature information for
And the determination from the target device and the device information includes a device information acquisition unit that acquires said signature information, to signal the previous SL device information sending and the signature information determination information acquisition device,
It receives the component information from the determination target device, a communication unit which receives said signature information and the determination information obtaining unit whether we pre Symbol device information, the component information received by the communication unit and the device information the A received data verification unit that verifies the validity of the pair with the signature information; a verification key storage unit that stores a verification key corresponding to the generated key that generated the signature information; and the received data verification using the verification key A verification unit that verifies the validity of the set of the component information, the device information, and the signature information that has been verified by the unit, and the determination target device based on the validity that the signature verification unit has verified. An authenticity determination system including an authenticity determination device including a determination unit that determines authenticity. 判定対象装置の真贋を判定する真贋判定装置の真贋判定方法であって、
通信部が、前記判定対象装置の内部を構成する部品の情報を示す部品情報を前記判定対象装置から受信し、前記判定対象装置の固有の情報を示す装置情報と前記装置情報と前記部品情報との組に対する署名情報とを前記判定対象装置から取得する判定情報取得装置から、前記装置情報と前記署名情報とを受信する通信ステップと、
受信データ検証部が、前記通信部により受信した前記部品情報と前記装置情報と前記署名情報との組に対する正当性を検証する受信データ検証ステップと、
署名検証部が、前記署名情報を生成した生成鍵に対応する検証鍵を用いて、前記受信データ検証部が正当性を検証した前記部品情報と前記装置情報と前記署名情報との組の正当性を検証する署名検証ステップと、
判定部が、前記署名検証部が検証した前記正当性に基づいて前記判定対象装置の真贋を判定する判定ステップと
を備える真贋判定方法。 An authentication method of an authentication device for determining the authenticity of a device to be determined,
Communication unit, before Symbol decision constituting the interior of the target device receives the component information indicating the information of the part from the determination target device, the device information indicating the specific information and the device information part information of the determination target device A communication step of receiving the device information and the signature information from the determination information acquisition device that acquires the signature information for the set of information from the determination target device ;
A received data verification unit that verifies the validity of the set of the component information, the device information, and the signature information received by the communication unit;
The signature verification unit uses the verification key corresponding to the generation key that generated the signature information, and the validity of the set of the component information, the device information, and the signature information verified by the reception data verification unit A signature verification step to verify
An authenticity determination method comprising: a determination unit that determines the authenticity of the determination target device based on the validity verified by the signature verification unit.
JP2017524288A 2015-06-22 2015-06-22 Authentication apparatus, authentication system, and authentication method Active JP6359188B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2015/067863 WO2016207945A1 (en) 2015-06-22 2015-06-22 Authenticity determination device, authenticity determination system, and authenticity determination method

Publications (2)

Publication Number Publication Date
JPWO2016207945A1 JPWO2016207945A1 (en) 2017-08-17
JP6359188B2 true JP6359188B2 (en) 2018-07-18

Family

ID=57585181

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017524288A Active JP6359188B2 (en) 2015-06-22 2015-06-22 Authentication apparatus, authentication system, and authentication method

Country Status (4)

Country Link
JP (1) JP6359188B2 (en)
CN (1) CN107735983B (en)
TW (1) TWI609581B (en)
WO (1) WO2016207945A1 (en)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007026836A1 (en) * 2007-06-06 2008-12-11 Bundesdruckerei Gmbh Method and system for checking the authenticity of a product and reader
JP5145882B2 (en) * 2007-11-09 2013-02-20 富士ゼロックス株式会社 Authenticity determination device, program, and storage medium
EP2237247A4 (en) * 2007-12-03 2012-09-26 Internat Frontier Tech Lab Inc Genuine&counterfeit certification member
US8578161B2 (en) * 2010-04-01 2013-11-05 Intel Corporation Protocol for authenticating functionality in a peripheral device
US8839459B2 (en) * 2010-09-22 2014-09-16 Qualcomm Incorporated Product authentication using end-to-end cryptographic scheme
TWI546692B (en) * 2011-10-27 2016-08-21 電子戰協會公司 Systems and methods of device authentication including features of circuit testing and verification in connection with known board information
CN107612685A (en) * 2011-12-29 2018-01-19 英特尔公司 Use the secure key storage of physically unclonable function
US8938792B2 (en) * 2012-12-28 2015-01-20 Intel Corporation Device authentication using a physically unclonable functions based key generation system

Also Published As

Publication number Publication date
TW201701611A (en) 2017-01-01
TWI609581B (en) 2017-12-21
JPWO2016207945A1 (en) 2017-08-17
CN107735983A (en) 2018-02-23
WO2016207945A1 (en) 2016-12-29
CN107735983B (en) 2020-12-04

Similar Documents

Publication Publication Date Title
KR101863953B1 (en) System and method for providing electronic signature service
CN114556865A (en) Electronic device and method for managing block chain address by using same
US10841087B2 (en) Security device, system, and security method
JP4470071B2 (en) Card issuing system, card issuing server, card issuing method and program
JPWO2008056613A1 (en) Authentication device
CA2969332C (en) A method and device for authentication
JP4696449B2 (en) Encryption apparatus and method
CN111901304A (en) Registration method and device of mobile security equipment, storage medium and electronic device
JP4846464B2 (en) System for issuing and verifying multiple public key certificates, and method for issuing and verifying multiple public key certificates
EP4087182A1 (en) Registration device, verification device, identification device, and individual identification system
JP7400444B2 (en) Public key certificate generation method for IoT key management system, secure device, IoT device, device management device, and secure element
CN117640096A (en) Method of updating device certificate and device for driving the same
CN110070365B (en) Commodity evidence storing method and device based on block chain and electronic equipment
Zhu et al. Loxin—A solution to password-less universal login
JP6359188B2 (en) Authentication apparatus, authentication system, and authentication method
CN114128213B (en) Apparatus, method, and program for verifying the authenticity of a public key
JP6031729B1 (en) RFID tag code generation device and method, authentication device and method, and program
JP6386181B2 (en) Authenticity determination system and authentication method
JP6988525B2 (en) Registration system and registration method
KR102021956B1 (en) Smart card based authentication system, device and method
JP5300026B2 (en) Card authentication system for IC card system
WO2019107000A1 (en) Information processing device, information processing system, information processing method and program
CN107431626B (en) Authentication linking of connected devices
CN108241512B (en) Device parameter input/output method and system
TWI633231B (en) Smart lock and smart lock control method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170314

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180619

R150 Certificate of patent or registration of utility model

Ref document number: 6359188

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250